我有Nginx运行PHP和WordPress。 Acunetixbuild议设置这些标志,但它们不提供任何文档。 我已经看了一下,但是我没有看到任何显示如何实现这个的东西。 我有这个模块:Nginx的http://wiki.nginx.org/HttpHeadersMoreModule ,如果这将有所帮助。 任何有关如何设置这些标志的信息? 谢谢。
按照这里要求的cookie样本
Cookie:__cfduid = d3-shortened-08; cf_use_ob = 0; wordpress_logged_in_6dfda缩短的-e3e82d5; __utma = 21-缩短-436.19; __utmc = 21519150; __utmz = 2119150.1396063475.3.2.utmcsr =谷歌| utmccn =(有机)| utmcmd =有机| utmct R =(未%20provided); testing= 1; SID = A14-缩短-384; sessiontest = 1; WP-设置-2 =编辑%3Dhtml%26wplink%3D0%26uploader%3D1%26mfold%3DO%26ed_size%3D 677%26libraryContent%3Dbrowse%26urlbutton%3Dfile; WP-设置时间-2 = 139745167; wordpress_test_cookie = WP +曲奇+检查; wordpress_logged_in_a9缩短的-d2a7 = DrDinosaur%7C1397980-缩短-2F9
编辑你的php.ini并设置session.cookie_httponly和session.cookie_secure或者在你的应用程序中使用setcookie 。
Cookie是用PHP代码设置的,而nginx只是将从PHP接收到的信息中继给网站访问者。
你也许可以用nginx-headers-more模块修改头文件,但是你也可以用这个方法来解决新的问题。
更安全的方法是修补WP的Cookie设置代码,以便使用httponly和secure -features设置cookie。
我不知道是否有任何首选的方法来启用WP,或者只是需要破解实际的cookie设置代码。
要确认这一点: __cfduid是由Cloudflare提供的cookie,不包含任何敏感数据。 你也可以不改变它有一个secure标志。
尝试使用nginx_cookie_flag_module 。 它会解决你的问题。